Re: Чем защищаться от DoS?
Kirill Shatalaev wrote: >> >> Если уж на то пошло, то лучше использовать hashlimit, поскольку он >> ограничивает >> число соединений не для всех IP, а для каждого в отдельности. Иначе >> DoS-атака >> окажется успешной, т.к. все разрешенные соединения будут идти только с IP >> атакующего. > > Если я ничего не путаю, то отличие connlimit от простого limit как раз и > состоит в том что это правило срабатывает "на 1 IP". > > Да, я перепутал connlimit с limit. Однако, стоит попробовать переписать правила под hashlimit, поскольку connlimit внесли в ядро из patch-o-matic сравнительно недавно. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Чем защищаться от DoS?
Stanislav Kruchinin пишет: Kirill Shatalaev wrote: Приветствую. У меня VPS на Debian Etch, ядро 2.6.18-028stab059..5-ent Собственно, DoS-ят VDS, причём достаточно примитивно: Первая мысль: # iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 5 -j DROP Если уж на то пошло, то лучше использовать hashlimit, поскольку он ограничивает число соединений не для всех IP, а для каждого в отдельности. Иначе DoS-атака окажется успешной, т.к. все разрешенные соединения будут идти только с IP атакующего. Если я ничего не путаю, то отличие connlimit от простого limit как раз и состоит в том что это правило срабатывает "на 1 IP". -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Чем защищаться от DoS?
Andrew N Golovkov wrote: >> В общем, очаровательно, и чего же мне делать теперь? Какие есть >> альтернативы? Прошу помощи. > > Поставьте nginx акселератором и забаньте в нём :) Да, пускай рунет пополнится еще одним сайтом с очаровательной заставкой 502 Bad gateway, если атакующий додумается устроить атаку на динамический контент. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Чем защищаться от DoS?
Kirill Shatalaev wrote: > Приветствую. > > У меня VPS на Debian Etch, ядро 2.6.18-028stab059.5-ent > > Собственно, DoS-ят VDS, причём достаточно примитивно: > > Первая мысль: > # iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 5 > -j DROP Если уж на то пошло, то лучше использовать hashlimit, поскольку он ограничивает число соединений не для всех IP, а для каждого в отдельности. Иначе DoS-атака окажется успешной, т.к. все разрешенные соединения будут идти только с IP атакующего. > > В ответ отлуп: > iptables: No chain/target/match by that name > > Поддержка в iptables есть: > #iptables -m connlimit -h > > connlimit v1.3.6 options: > [!] --connlimit-above nmatch if the number of existing tcp > connections is (not) above n > --connlimit-mask ngroup hosts using mask Это означает только то, что управляющая программа iptables поддерживает синтаксис для этого модуля. Без предварительного modprobe ipt_connlimit ничего работать не будет. > > Обратился в техподдержку хостера - в ответ отлуп: бла-бла-бла невозможно > добавить в ВПС данные модули. > > В общем, очаровательно, и чего же мне делать теперь? Какие есть > альтернативы? Прошу помощи. > Настраивайте в Apache количество соединений с одного IP с помощью модуля mod_limitipconn. Обращайтесь к хостеру, чтобы он предоставил какие-то средства для бана по IP, хотя бы tcp_wrapper какой-нибудь. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Чем защищаться от DoS?
Поставьте nginx акселератором и забаньте в нём :) А он что, может автоматом это делать по тому же принципу? Просто не имел дела с ним никогда. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: Чем защищаться от DoS?
On Tuesday 27 January 2009 20:23:22 Kirill Shatalaev wrote: > Приветствую. > > У меня VPS на Debian Etch, ядро 2.6.18-028stab059.5-ent > > Собственно, DoS-ят VDS, причём достаточно примитивно: > > 77.244.37.68 - - [26/Jan/2009:13:25:30 +0100] "GET / HTTP/1.0" 200 51928 > "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.5) > Gecko/2008120122 Firefox/3.0.5" > 77.244.37.68 - - [26/Jan/2009:13:25:33 +0100] "GET / HTTP/1.0" 200 51928 > "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.5) > Gecko/2008120122 Firefox/3.0.5" > 77.244.37.68 - - [26/Jan/2009:13:25:33 +0100] "GET / HTTP/1.0" 200 51928 > "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.5) > Gecko/2008120122 Firefox/3.0.5" > 77.244.37.68 - - [26/Jan/2009:13:25:33 +0100] "GET / HTTP/1.0" 200 52064 > "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.5) > Gecko/2008120122 Firefox/3.0.5" > > Лог апача забит подобными строками - тысячи их. > > Первая мысль: > # iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 5 > -j DROP > > В ответ отлуп: > iptables: No chain/target/match by that name > > Поддержка в iptables есть: > #iptables -m connlimit -h > > connlimit v1.3.6 options: > [!] --connlimit-above n match if the number of existing tcp > connections > is (not) above n > --connlimit-mask n group hosts using mask > > Обратился в техподдержку хостера - в ответ отлуп: бла-бла-бла невозможно > добавить в ВПС данные модули. > > В общем, очаровательно, и чего же мне делать теперь? Какие есть > альтернативы? Прошу помощи. Поставьте nginx акселератором и забаньте в нём :)
Чем защищаться от DoS?
Приветствую. У меня VPS на Debian Etch, ядро 2.6.18-028stab059.5-ent Собственно, DoS-ят VDS, причём достаточно примитивно: 77.244.37.68 - - [26/Jan/2009:13:25:30 +0100] "GET / HTTP/1.0" 200 51928 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5" 77.244.37.68 - - [26/Jan/2009:13:25:33 +0100] "GET / HTTP/1.0" 200 51928 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5" 77.244.37.68 - - [26/Jan/2009:13:25:33 +0100] "GET / HTTP/1.0" 200 51928 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5" 77.244.37.68 - - [26/Jan/2009:13:25:33 +0100] "GET / HTTP/1.0" 200 52064 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5" Лог апача забит подобными строками - тысячи их. Первая мысль: # iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 5 -j DROP В ответ отлуп: iptables: No chain/target/match by that name Поддержка в iptables есть: #iptables -m connlimit -h connlimit v1.3.6 options: [!] --connlimit-above n match if the number of existing tcp connections is (not) above n --connlimit-mask n group hosts using mask Обратился в техподдержку хостера - в ответ отлуп: бла-бла-бла невозможно добавить в ВПС данные модули. В общем, очаровательно, и чего же мне делать теперь? Какие есть альтернативы? Прошу помощи. -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org